パスワードマネージャのセキュリティ向上手法 パスワードマネージャのセキュリティ向上手法 パスワードマネージャのセキュリティ向上手法 パスワードマネージャのセキュリティ向上手法
八木佐和子†1 田中英彦†1
概要概要
概要概要:インターネットが社会基盤と化し,ネットサービスの利用が一般化した今日において,IDとパスワードを用い た認証システムは欠かせないものとなっている.だが,相次ぐ不正アクセスの被害によりその評価に変化が生じてい る.特に問題視されているのは2013年頃から多発しているパスワードリスト攻撃だ.
これを防ぐには複数のアカウントに対してそれぞれ異なるパスワードを設けるのが対策に挙げられるが,その為のパ スワード管理の煩雑さに辟易して,対策を疎かにしてしまう利用者が後を絶たない.
これの解決策として,パスワード以外の認証システムに移行する流れも目立ちつつあるが,依然として現状は ID/パ スワードによる認証システムの方が主流だ.パスワード管理と上手く付き合える方法が今,強く求められている.
そこで本研究ではパスワードマネージャ(PM)と呼ばれる,アカウント毎に設定した異なる ID/PASS の記憶/保管を一 手に担うツールに着目し,その有用性と懸念事項を調査し,PMの安全性をより高める新規手法の提案を行う.
キーワード キーワード キーワード
キーワード:パスワード,パスワードマネージャ(PM)
Consideration of Security Improvement for Password Manager System
SAWAKO YAGI
†1HIDEHIKO TANAKA
†1Abstract: Today Internet is social infrastructure and net services are popular. Login system with ID and password is general authentication system to use the net services. But, the assessment of people is weak because it allows victims of unauthorized access. In particular, password-list-attack that has begun in 2013 is big problem.
We should stop using the same password in multiple accounts to prevent this attack. But they are difficult because there are many people who cannot cope with so many service accounts. Solutions of this situation are using other authentication system-for example, fingerprint authentication system, one-time-password system and CAPTCHA, but these systems aren't more popular than passwords system. So, efficient management of passwords is required for people.
In this paper, we focus on password manager (PM). PM is a tool which can store the different passwords for multiple accounts.
We survey usability and problem on PM. And, show some improvements as counter methods.
Keywords: Password, Password manager(PM)
1.
はじめにはじめに はじめにはじめにインターネットが普及した現在,企業・行政機関・個人 問わず社会全体でネットを利用した情報通信システムが使 われている.これを効率良く利用する為に多く用いられて いる技術がパスワードを用いた認証システムであり,web アプリケーション等の情報通信システムを利用する際には 必要不可欠なものとなっている.
だが,近年ではパスワードリスト攻撃等から発生する不 正アクセスの被害によってその評価に変化が生じており,
それに伴う煩雑なパスワードを管理しなければいけない問 題に多くのユーザが悩まされている.
この問題を解決するのに,本研究ではパスワードマネー ジャ(PM)と呼ばれるパスワードを管理するツール/機能が 有用であると考えている.しかし世間の PM に対する評価は 低く,その普及率は決して高いとは言えない.
これは PM の機能特徴からセキュリティに関わる複数の 問題点が存在する為ではないかと本稿では仮説を立て,こ
†1情報セキュリティ大学院大学
INSTITUTE of INFORMATION SECURITY
のような PM に付随している問題を解決する為の方式を本 論文では提案する.
本研究の目的は,PM のセキュリティ問題を解決する方式 提案を行う事で PM の安全性を向上させる事である.
PM の安全性が高まる事により PM の有用性と普及率を底 上げし,パスワード認証技術に生じている煩雑なパスワー ド管理問題の解決に繋げていく事が最終目標である.
2.
パスワード認証システムの現状パスワード認証システムの現状パスワード認証システムの現状パスワード認証システムの現状2.1 パスワード認証システムについてパスワード認証システムについてパスワード認証システムについてパスワード認証システムについて
インターネットの普及により情報通信システムが社会基 盤と化している今日では,大衆が様々な情報通信システム を利用しており,特に近年ではスマートフォンの普及によ りその傾向は増加し続けている.
同じ情報通信システム,またはそれを通じて提供される サービスシステム等を不特定多数のユーザが使用するとな ると,倫理観から個人情報やプライバシーを守る事と,効 率化の為に互いの作業を切り分ける事が必要であり,その 為に使われているのが認証システムである.
2014 年に発行された IPA オンライン本人認証方式の実態 調査報告書[1]によれば,認証を行う手段は様々なものがあ るが,パスワードを用いた認証システムが最も強く支持さ れている事が図 1 から窺い知れる.
同時に不正アクセス行為の犯行手口の内訳を示した図 2 を見ると,一番の原因として挙げられるのが「利用者のパ スワード設定管理の甘さ」で,この点に付け込んだ攻撃の 代表格に近年多発しているパスワードリスト攻撃が挙げら れる.
図 1 サービス別ごとの認証方式の比率
図 2 不正アクセス行為に係る犯行の手口の内訳
2.2 煩雑なパスワード管理問題煩雑なパスワード管理問題 煩雑なパスワード管理問題煩雑なパスワード管理問題
パスワードリスト攻撃は ID/パスワードを複数の異なる サイトで使い回しているユーザを狙って行われる攻撃で,
2013 年から 2014 年に掛けて mixi,Facebook,LINE などの 有名アプリが攻撃を受けた事でその知名度は急上昇した.
これを受けて多くのユーザが認識を改める一方,パスワ ードリスト攻撃の対策として挙げられるパスワードの使い 回しを辞めようとすると,下記のような悪循環に陥ってし まう場合がある.
・簡単なパスワードを使用する→総当たり,辞書攻撃の餌 食になる
・難しいパスワードを使用する→使い回しを狙うパスワー ドリスト攻撃の餌食になる
・複数個の難しいパスワードを運用する→記憶ではまかな い切れなくなる
・記憶ではまかない切れないので何らかの管理方法を考え る→管理が煩雑化する
このような煩雑なパスワードの管理に耐えられず,対策 を怠ってしまう利用者が多く居る事は度々示唆されており,
結果依然として不正アクセスが続いてしまっている事が図 3 から分かる.
このようなセキュリティの為に煩雑なパスワードを利 用し管理しなければいけない「煩雑なパスワード管理問題」
が今,パスワード認証システムを利用する上で問題となっ ており,これを解決するのに本研究ではパスワードマネー ジャ(PM)が有用なのではないかと仮説を立てている.
図 3 不正アクセス届出件数の推移[2]
3.
パスワードマネージャパスワードマネージャパスワードマネージャパスワードマネージャ(PM)(PM)(PM)(PM)についてについてについてについて本章では,調査で判明したパスワードマネージャ(PM)に 関する事柄についてまとめあげていく.
3.1 PMPMPMPM の説明の説明の説明 の説明 3.1.1 概要
PM は古くから存在するパスワード管理ツール/機能であ る.ユーザが覚えきれない・管理しきれない ID やパスワー ドを,ユーザに代わって管理するのが PM の主な目的であり,
フリー/シェア問わず様々な組織・個人が異なる形で開発提 供をしている.その為,PM のあり方を一概にまとめるのは 難しいが,往来より使われているのはユーザが覚えられな い複数のパスワードを識別対象である ID,関連キーワード,
他要素(ドメイン,URL 等)と紐づけて「記憶」し,これら のデータベース(DB)に記憶した資格情報を「保管」する形 態が多くみられる.
3.1.2 PM の種類について
パスワードを逐次生成する逐次生成型と,3.1.1 で先述 した DB 保存型が存在する.DB 保管型を更に分類づけるな ら,記憶している資格情報を保管する DB の置き場所によっ て以下 3 つのパターンに分けられる.
■DB が専用ハードウェアに保管されるパターン
資格情報 DB を専用ハードウェア内に置く形態.データ を蓄えた端末が基本的にはネットワーク接続から隔絶され ている事と,小型端末なので簡単に持ち運び出来るのが特
徴に挙げられる.
■DB がローカルコンピュータ内に保管されるパターン PM をインストールした(ローカル)コンピュータ/ハード ディスク内に資格情報 DB が作られる.スタンドアローンア プリ等のように他の機器に依存しない単独コンピュータに 関連する資格情報を対象に管理させる場合が多い.
■DB がクラウド/サーバ上に保管されるパターン
資格情報 DB がクラウド上や PM 開発源元のサーバ上に作 られる.この形態の PM を使用する場合,web サイトや web アプリケーションの資格情報を管理させる場合が多い.ま た,この場合には更に PM 自身の形態から以下 2 つに大きく 分けられる.
・web ブラウザのプラグインを利用する場合
・同期機能を通じて web ブラウザ上で動作する場合
3.1.3 PM の機能について
PM は記憶,保管以外にも様々な機能を持っている.これ らの機能や特徴は PM により多種多様だが,いずれもセキュ リティ・ユーザビリティ・利便性を向上させるのが目的で ある.代表的な機能を以下にまとめる.
○セキュリティ面に係る機能
・マスター認証の利用
PM を利用する前に,利用者が正規ユーザであるか確認す る為にユーザが唯一覚えなければいけない「マスターID」
「マスターパスワード」確認による認証を行う.この認証 の事を「マスター認証」と呼ぶ.
・保管している資格情報の暗号化
・パスワード生成
○利便性・簡便性に係る機能
・リモートアクセス
PM とインターネットを通じて,どのような環境下からで もパスワード DB へアクセス出来る機能.ただし,使用する コンピュータのプラットフォームや web ブラウザが,対象 PM のサポート下に入っている事が必須.
・プラットフォーム間の同期
対象 PM がサポートされているプラットフォーム間で「同 期」が行える機能.同期とは,同じデータを複数の場所で 使用している際,一ヶ所でデータが更新されると他で使用 しているデータにも変更が自動的に反映され,常に同一性 が保持される事を指す.
・資格情報の共有
同期されたプラットフォーム間で,PM が保管しているパ スワード DB 等の資格情報を共有する機能.
・自動入力
保管している ID/パスワードを,対応する web アプリケ
ーションのログインフォーム等へ自動的に入力する機能.
PM によっては,その後にログインフォームの自動送信も行 う.対象サイトへアクセスしたと同時に行われるケースが 多い.
3.2 PMPMPMPM の運用方法についての運用方法についての運用方法について の運用方法について
図 4 は実在する複数の PM がどのような機能特徴を持っ ているか大まかにまとめたものである.本稿では実在する PM の中から Lastpass を取り上げて,どういった使い方が 出来るかメリット/デメリットを挙げながらまとめていく.
△:有料化によって追加される機能
□:機能を利用するか選択可
図 4 各 PM の機能をまとめた表
■Lastpass[3]
サードパーティが開発したフリーミアムのソフトウェ アで,マルチプラットフォームに対応している.PM をイン ストールすると,web ブラウザのツールバーに PM アイコン が表示されて,アイコンから PM マスター認証の入力フォー ムの表示や,DB へのアクセスが可能となる等,web ブラウ ザを通じて PM の機能が提供されるのが特徴.
web アプリへ資格情報の自動入力を行う機能により,ユ ーザが逐次パスワード等を DB リストからコピー/ペースト する必要性がなくなった.他にも DB がクラウド/サーバ上 にある為,インターネット接続環境が必須ではあるが,不 特 定 多 数 の デ バ イ ス か ら PM を 使 用 す る 事 が 出 来 る . Android スマートフォンや iOS 端末対応のものもある為,
外出先等でも通信を経て資格情報を利用出来る.これらの 事から,他 PM よりも利便性面で優れた一面があると言える.
反面,DB が保存されているクラウド/サーバ等に対する 攻撃や,ネットワーク接続を利用した攻撃等から保管して いる資格情報が流出する可能性があり,情報漏洩の際のリ スクは他より大きいとされている.
3.3 PMPMPMPM の研究動向の研究動向の研究動向 の研究動向
3.3.1 国内の既存研究
照屋ら[4]の研究ではマスターパスワードの重要性と逐 次生成型の PM について触れている.
既存研究が取り上げている逐次生成型 PM はマスターパ スワードを用いて対象サイトに応じて都度パスワードを生
成する形態で,例えば web アプリにログインしようした時 には,対象 web アプリのネットワークドメイン(URL 等)と ユーザが入力したマスターパスワードを,PM 内のアルゴリ ズムに則って組み合わせる事で,対象 web アプリのパスワ ードを逐次生成している.その為,マスターパスワードが 第三者に知られてしまうと全てのパスワードの漏洩に繋が る恐れがあるとしている.
具体的には,PM を利用しているシステム内にキーロガー が仕込まれていると,マスターパスワードが発覚してしま い,資格情報の漏洩から不正アクセスに繋がってしまう恐 れがあると指摘している.
3.3.2 国外の既存研究
Web ブラウザのプラグインを利用して稼働する PM の性質 と PM の自動入力に焦点を当てている.
Li ら[5]の研究では,PM が動作する web ブラウザの脆弱 性を突いた攻撃の危険性について触れている.web ブラウ ザのプラグインを利用して動く PM は,現在の web ページの コンテキスト上で JavaScript が実行される事により稼働 する.これは,現在 web ブラウザが繋がっている web ペー ジの環境によって PM の機能も左右されるという事であり,
正規 web アプリになりすました evil.com や脆弱性により改 竄された web アプリ等と web ブラウザが接続されたりすれ ば,PM への攻撃が成り立ってしまう.
それ以外に,Silver ら[6]の研究では攻撃者が悪意的に 挿入した不可視インラインフレームによる攻撃ページへの リダイレクトによって,PM の自動入力機能が悪用される危 険性があると述べており,一度に大量の資格情報が PM から 搾取されてしまう可能性があるとしている.
4.
PMPM の有用性と問題点の分析PMPMの有用性と問題点の分析の有用性と問題点の分析 の有用性と問題点の分析4.1 PMPM の有用性検討PMPMの有用性検討の有用性検討の有用性検討
2 章でパスワード認証システムは情報通信システムを利 用する上で重要な一端を担っているが,攻撃の高度化に伴 って管理が煩雑化してしまい,その事にユーザが対応しき れない状況にある事が判明した.これを解決するのに PM が有用であるか 3 章で判明した事柄を元に検討を行う.
PM には複数個の ID/パスワード(資格情報)を記憶/保管 出来る機能により,人間の記憶だけではまかないきれない 不特定多数のパスワード管理を代替可能にすると言える.
また,PM にはランダムなパスワードを生成する機能もつ いている為,人間が安全性を考慮した難しいパスワードを 態々考える必要性がなくなる上に,規則性がなくなる事で 攻撃者にパスワードを推測される危険性を減少出来る.
それ以外にも PM の DB がクラウドサーバ上にある場合,
web アプリのログインフォームに対して資格情報の自動入 力機能が付随している事から,ユーザが情報を入力する手
間が省略される.同期機能を用いてデスクトップ/モバイル /タブレット等を通じて,どこからでも資格情報を利用する 事が出来る事から,利便性・簡便性の向上にも繋がる.
上述した事柄から,PM は従来パスワード認証システムに つきまとっていた煩雑なパスワード管理問題を解決するの に十分な有用性があると言える.また,それ以外にも安全 性と利便性を向上させる機能も備わっている事から,PM は 更に有用性のあるシステムであると言える.
4.2 世間の世間の世間の世間の PMPMPMPM 評価像評価像評価像評価像
4.1 で PM は煩雑なパスワード管理問題に有用である事が 分かったが,では PM はどれほど世間に浸透しているのか考 察を行う.
PM に関する調査を行う上で大きく目につくのは PM を取 り扱った参考文献の少なさだ.これは,PM が古くから様々 な組織・個人が大小異なる統一性のない仕様携帯で開発・
提供されている為に,その歴史や概要,特徴,分類等,PM に関する情報をまとめた資料や標準が存在しない事が最た る原因に考えられる.
このような PM を評価した資料や動向が余りに少なく中 途半端な状況を鑑みるに,PM は世間から十分な評価を受け ていないと考えられる.
4.3 PMPMPMPM の現状分析の現状分析の現状分析 の現状分析
4.2 の状況を改善するにはどうすればいいのか,PM の現 状を分析する事で PM の問題点を考察するのに繋げる.
4.3.1 情報セキュリティインシデント事例からの考察
PM の評価が伸びない問題点を明示するにあたり,過去に 起きた PM のインシデント事例から考察を行う.近年であれ ば,Lastpass のサーバが攻撃を受けた事で DB から資格情 報が漏洩した事件[7]があった.
PM で発生するインシデント事例の代表格は,管理してい た資格情報の漏洩であり,この際の情報漏洩は一般的な web アプリやサーバからの情報漏洩とは規模が違う.PM が 有している複数の資格情報が流出するという事は,鼠算式 に不正アクセスが発生する事に繋がり,最終的には個人情 報の流出や不正送金までの発展も考えられる.その為,イ ンシデント発生時のリスクが非常に大きいのが PM の特徴 と言えるだろう.
4.3.2 既存研究の対策案からの考察
照屋らの研究では,マスターパスワードを狙うキーロガ ー対策として,web アプリログインの際に携帯情報端末と 連携を取る逐次生成型パスワード管理システムの構築を提 案している.マスターパスワードの入力を携帯情報端末で 行わせる事でキーロガーの対策としているが,常時携帯情 報端末を用いてログイン認証を行うのは大きな手間となる
他,マスターパスワードが発覚した際の危険性に変化はな い.なので,利便性を損ねずにマスターパスワードのセキ ュリティ負荷を分散させられる方法が必要と考えられる.
Li らの研究では,PM の機能が信頼されていない web ペー ジのコンテキスト上で実行される事が原因の一つに挙げら れるので,web ブラウザは隔離された安全な実行環境が保 障されるべきだとしてアーキテクチャを提案しているが,
頻繁にバージョンアップがなされて仕様が変わる IE や chrome 等の代表的な web ブラウザに対して,隔離された実 行環境を作るのは一筋縄ではいかないと考えられる.
Silver らの研究では,ユーザの知らぬ間に自動入力機能 が行われる危険性の対策に,自動入力が行われる際は自動 入力を行う挙動をユーザに知らせて,決行するか否かをユ ーザに選択させる事が有効だとしている.またそれ以外に も正規のログインフォームを改竄して情報を搾取しようと する手法もある為,PM は自動入力の前にログインフォーム が攻撃者の手により改竄されているか否か確認を取るべき だとしているが,マルウェアや動的スクリプトを読み込む 事で起こりうる攻撃の対策については触れられていなかっ た.これは先述した Li らの既存研究にも言える事であり,
web 上で引き起こされる多様な攻撃に上手く対応する必要 性があると考えられる.
4.4 PMPM の問題点PMPMの問題点の問題点の問題点
4.3 の考察から,PM の普及率を妨げる弊害になっている 問題点は大きく分けて以下の 3 点が挙げられると考える.
■インシデント発生時のリスクが大きい事
■セキュリティ/システム面でマスターパスワードに強く 依存している事
■web 上からの多様な攻撃を受ける事
この問題点を改善すれば,PM の有用性を更に広めるのに 貢献出来ると仮定し,以降の章ではこれらを解決する為の 提案手法の説明を進めていく.
5.
PMPM セキュリティ向上手法PMPMセキュリティ向上手法セキュリティ向上手法 セキュリティ向上手法5.1 対象対象 PM対象対象PMPM の絞り込みPMの絞り込みの絞り込みの絞り込み
4.4 で提示された問題点を解決する為の方式提案を行う にあたり,対象として扱う PM について定義する.
PM ランキングレビュー[8]を見ると,現在高い評価を受 けているのは DB 型 PM の中でも DB をクラウドサーバに置い ているものである.これは一重に昨今の情報通信システム のトレンドにクラウド技術が入っている事も影響として考 えられるが,それ以外にも 4.1 で考察した通り,クラウド サーバに DB を置いた PM は利便性に優れた機能を提供出来 る為であると思われる.
また,クラウドに DB が存在する PM の多くは web ブラウ ザと連携して,または web ブラウザそのものが PM として動 作する.本研究の提案手法で用いる PM は前者の web ブラウ ザのプラグインを用いて web ブラウザと連携して稼働する PM を対象とする.これはプラグインを用いた方が実装や導 入の観点から融通が利く為である.
5.2 対象対象対象対象 PMPMPM の基本的構造PMの基本的構造の基本的構造 の基本的構造
図 5 対象 PM の基本的構造と通信プロセスの概要図
5.1 で対象 PM の種類を絞ったが,具体的にこの PM はど のように稼働して PM サーバや web アプリと通信を行うか,
基本的な構造とプロセスを図 5 に図示する.
本研究の提案手法で扱う PM は基本的に web アプリに関 連した資格情報を保管しており,web アプリの資格情報を いかに安全且つ簡便に管理/運用補助するかで有用性が変 わると想定する.
本研究が提案する手法は,基本的には図 5 の構造とプロ セス通信を元に,提案する手法の仕様を追加してく.
5.3 提案手法の概要提案手法の概要提案手法の概要提案手法の概要
5.2 で述べたような構造と通信プロセスを取る PM に対し て起こりうる攻撃パターンは,大きく分けて 5 通りが想定 される.図 6 は攻撃パターンのイメージを大まかにまとめ たものであり,1 つずつ説明を記す.
図 6 PM に対して起こりうる攻撃パターンの概要図
①PM マスター認証を突破して PM ユーザになりすまし,資
格情報を搾取する.
②サイト A に攻撃コードを仕込んでおき,web ブラウザが サイト A をロードした際に攻撃コードも一緒に読み込ませ る.この際に読み込んだ攻撃コードにより資格情報等が攻 撃者に搾取されてしまう.
③web アプリと web ブラウザ間の通信に割り込み,中間者 として通信を改竄・取得する過程で資格情報を搾取する.
④事前にユーザクライアントへ攻撃を仕掛ける事で,正常 な動作をしていた web ブラウザや PM プラグインを改竄して しまい,後程 PM が稼働した際に異常動作を起こさせる.
⑤PM サーバへ直接攻撃を仕掛けて PM 資格情報を搾取する.
本研究ではこの攻撃が仕掛けられるパターンの内 3 つ,
①②③に焦点を当てた方式を提案する.具体的には以下 3 つの方式を提案する.
■リスクベース認証の導入
マスター認証へリスクベース認証の導入を行う.攻撃パ ターン①に対応.
■通信パケット取得・分析アダプタの追加
web ブラウザと web アプリ間の通信を取得分析するアダ プタをローカルコンピュータ内に設けて,web ブラウザが 接続しようとしている web アプリが正常であるか判断する.
検知の判断材料には過去 web アプリから返されたレスポン スデータを基に行う.攻撃パターン②③に対応.
■PM 利用者の挙動を監視するシステム
PM サーバに設けたシステムが,PM を利用しているユーザ が正規ユーザであるか否か,マスター認証後にユーザがサ イト A へログインしようとした挙動時刻を過去のアクセス 時刻の統計パターンと比較する事で判断する.攻撃パター ン①に対応.
本稿では 6.1 でリスクベース認証の導入のみ詳細を記述 する.これらの提案手法により 4.4 で提示された問題点が 解決されるかの評価については 7.1 で,この提案手法の課 題については 7.2 でまとめて表記する.
6.
提案手法の詳細提案手法の詳細 提案手法の詳細提案手法の詳細6.1 リスクベース認証の導入についてリスクベース認証の導入について リスクベース認証の導入についてリスクベース認証の導入について
PM マスター認証を行う際,リスクベース認証を導入し て認証を強化する為の方式/プロセスを提案する.図 7 はリ スクベース認証が導入されたマスター認証プロセスを図示 したものである.
ユーザが操作するローカルコンピュータには,対象 PM ソフトがインストールされており,通信で取り扱う情報の
暗号化と復号化,ハッシュ計算等はローカル内で行えるよ うになっている.
web ブラウザのプラグインにより機能が提供される PM は,
ブラウザツール上に PM マスター認証を行う為のログイン フォームが設けられるので,直接 PM サーバへマスター認証 情報を送る事が可能になっている.
リスクベース認証を PM マスター認証に導入するにあた り,PM サーバ側には ID/パスワード等の資格情報 DB の他に,
過去にマスター認証を行った際のリクエスト通信のデータ が貯められている履歴データ貯蓄が置かれており,このリ クエスト履歴データを認証に利用するのが従来と異なる点 である.
図 7 マスター認証のプロセス図
■リスクベース認証を導入したマスター認証のプロセス 前提としてプロセス開始時から終了時に至るまで,攻撃 者やマルウェアの手による介入を受けていない状態である 事とする.
まず,PM マスター認証のログインフォームに,ユーザは マスターID/マスターパスワードを入力する.(図 7 の①) ユーザがこれらの情報を送ろうと送信コマンドを行うと,
システムはフォーム送信を行う前に,HTTPS 通信を行う為 の TSL ハンドシェイクを web ブラウザと PM サーバ間で行 い,相互認証した状態にする.(図 7 の②)
それからシステムはフォームに入力されたマスターID と,暗号化されたマスターパスワードまたはハッシュ関数 で計算されたハッシュ値を HTTPS 通信で PM サーバへリクエ スト送信する.同時に,クライアント IP アドレス,クライ アントホスト名,ISP,OS,OS ver,web ブラウザ形式,使 用言語,アクセス圏,アクセス時刻,cookie,uuid(ネット ワークインターフェイスの MAC アドレス,IP アドレス,web ブラウザ形式とブラウザ情報等を連結したものをハッシュ 化等して作られた固有識別子)等の情報をクライアントリ クエストとして送付する.(図 7 の③)
PM サーバは図 7 の③で送られてきた情報を元に【認証プ ロセス】へ移行する.(図 7 の④)
【認証プロセス】【リスクチェック】【追加認証】のプロ セスをクリアしてマスター認証が済んだ場合,図 7 の③で 送られてきたリクエスト情報は履歴データに日付/時刻と
共に保存される.
【認証プロセス】
①マスターID とそれに紐づいた資格情報が PM の DB 内に存 在するか確認する.存在すればマスターPASS の確認へ,存 在しなければ「ID が存在しない」とクライアントへレスポ ンスする.(図 7 の⑤)
②マスターID に対してマスターPASS が同一であるか確認 する.OK なら【リスクチェック】へ,NO なら「マスターPASS が合っていない」とクライアントへレスポンスし,マスタ ー認証の失敗回数を+1 回履歴に残す.(図 7 の⑤)
【リスクチェック】
PM サーバ側には,過去に送られてきたクライアントリク エスト情報をマスターID 毎に紐づけて貯蓄している履歴 データがある.この履歴データの内容と,今回のリクエス トの内容とを比較して,通常のアクセスをしてきている正 規ユーザであるか否かを判定する為のリスクの点数付けを 行う.図 8 はチェックする項目,チェックする基準,チェ ックで判別する特徴をまとめたものである.
これらの項目チェックを終えた後,リスク閾値が事前に 決めていた基準点を越えなければ通常通りのアクセス(正 規ユーザ)であると判断し,PM マスター認証後にクライア ントへ渡される情報をクライアントへレスポンスとして返 す.(図 7 の⑤)
リスク閾値が基準を超えた場合は正常ではないリクエ ストであると判断し,クライアントへ【追加認証】を要求 する.
図 8 リスクチェック項目のまとめ
【追加認証】
リスクチェックでクライアントが通常と違うと判断さ れたので,追加の認証チェックをクライアントに要求する.
追加認証で使われる認証手段としては,秘密の質問と対応 する答えを確認する,登録したスマートフォンに送信した 認証コードや SMS,ワンタイムパスワード等を入力させる 事で確認を取る手法等が挙げられる.
この追加認証をクリアすれば正規ユーザと判断されて PM マスター認証後に渡される情報をクライアントへレス
ポンスとして返し,クリア出来なければ「追加認証が合っ ていない」とクライアントへレスポンスを返す.(図 7 の⑤)
■実装方法について
OpenAM[9]と呼ばれるオープンソースソフトウェアを利 用すれば実装出来ると考えている.OpenAM とは,シングル サイオン(SSO)を実現する為に開発されたオープンソース ソフトウェアで,複数のシステムへのサプライサイドプラ ットフォーム(SSP),認証の強化,アクセス制御,フェデレ ーション(クラウドサービスへの SSO)等の機能を実装し ており,用意されている認証モジュールを組み合わせる事 で柔軟性のある認証システムを構築出来る.
7.
考察考察考察考察7.1 提案手法の評価提案手法の評価提案手法の評価提案手法の評価
4.4 で提示された PM の問題点が,提案した手法により解 決されているか問題点毎に考察を行う.従来の手法との違 いについても記しながら評価を行う.
■マスターパスワードへ依存している点について 6.1 で説明したマスター認証にリスクベース認証を導入 する方式によって解決が出来ると考えられる.マスターパ スワード以外にも複数の要素を認証で利用する為,マスタ ーパスワードへの依存度は軽減・分散される.また,マス ターパスワードだけで認証を行っていた際よりも認証強度 も底上げされる為,総じて安全性向上にも繋がっている.
また,運用面においても普段利用しているネットワーク 環境からのアクセスであれば追加認証は生じない為,利便 性が損なわれる事もない事から,従来のものより安全性・
利便性を強化出来たと評価出来る.
■web 上の脆弱性によって起きる多様な攻撃に関して 5.3 で触れた通信パケット取得・分析アダプタの追加に より一定の解決が出来ると考えられる.前提として,本研 究で提案した手法で全ての異常性(攻撃)に対して完全な検 知を行う事は不可能であるが,正常であるか否かの判断確 率を高める為の材料を提示したという点では一定の有用性 があると評価出来る.
また,この度提案したこの手法は web の通信を監視する ものである為,この方式を用いる事で PM だけでなくリモー トコントロール等のような,web 通信全体のセキュリティ 向上にも繋げられる.逆を言えば PM のセキュリティを考慮 するならば情報通信の安全性そのものを向上させる事が大 事であると明示した点が,他研究との違いであると言える.
■インシデント発生時のリスクの大きさについて 5.3 で触れた PM 利用者の挙動を監視するシステムで一定
の解決が出来ると考えられる.マスター認証後にも利用者 の動向を監視する事で,PM を通じた不正アクセスを直前に 検知する.その為,特定の場合による情報漏洩は一定の確 率で解決出来ると評価出来る.
7.2 提案手法の課題提案手法の課題 提案手法の課題提案手法の課題
1.リスクベース認証の導入について
リスクベース認証は普段通りのネットワーク環境から アクセスする分には利便性に差異は生じないが,旅行や出 張,外出先や派遣先等から認証を行う際は必ず追加認証が 生じてしまうので,その点は課題である.また,マスター パスワードを搾取しようとするキーロガー等を直に防ぐ事 は出来ないので,その点に関しても他の工夫が必要である.
2.web アプリケーションとの通信分析アダプタ
実装方法についてと,web アプリを構成するリソースの 変動が激しい中で,web 通信上攻撃判断の基準を少しでも 増やす為に今回は過去のレスポンスデータを利用する案を 取っているが,過去のレスポンスデータを使う事で,どれ 程の効果が期待できるか具体的数値を評価していく事が今 後必要である.
3.時刻を利用した PM 利用動向の監視
実装方法についてと,PM を利用しているユーザが正規か 否か判断を行う判断基準が過去のアクセス時刻の統計デー タに依存している為,過剰検知が起きる可能性がある.過 剰検知が起きる具体的数値を評価する事と,これを和らげ る為の対策が必要とされる.
8.
まとめまとめ まとめまとめ8.1 研究成果研究成果 研究成果研究成果
パスワード認証システムは情報通信システムを利用する 上で欠かせない認証技術の一端を担っている.しかし,攻 撃の高度化に伴いパスワード強度を上げると管理が煩雑化 してしまい,その事にパスワード利用者達が対応しきれな い現状が続いている事が調査で判明した.
この現状に対する対策について,本研究では以下のよう な成果を残せた事を記す.
1.煩雑なパスワード管理問題を解決するのに複数のパスワ ードを記憶/保管する PM は有用である事
2.PM の有用性を広める為に,セキュリティ向上の手法を幾 つか提案した事
3.提案方式に対する考察を行い,評価と課題をまとめた事
8.2 今後の展望今後の展望 今後の展望今後の展望
煩雑なパスワードの管理問題を解決するのに本研究では
PM が有用であると述べてきたが,FIDO Alliance[10]によ るパスワードをなくした認証技術の導入や,OpenID[11]の SSO の浸透によって,パスワードを利用した認証システム の減退化が今後の展望の一つとして考えられる.
特に SSO の浸透によりシステム間が繋がって認証ポイン トが収束するという事は,不正アクセス等の攻撃が仕掛け られる機会を減らせる上に,セキュリティ対策も一点に集 中強化させられる分,総じて安全性の向上に繋がっていく.
(本稿で提案した手法に用いたリスクベース認証は SSO の 認証時にも使われている技術である.)
反面,現実的観点から SSO が世界的レベルにまで浸透す る事やパスワード認証が完全になくなる事態も想定は出来 ない.そういった場合には変わらず煩雑なパスワード管理 問題が生じる為,PM のようなパスワード管理ツールは変わ らず有用であり続けると考えられる.
参考文献参考文献 参考文献参考文献
[1] "IPA オンライン本人認証方式の実態調査報告書". (2014)
https://www.ipa.go.jp/files/000040778.pdf [2] "IPA 不正アクセス届出状況". (2015.07.24)
https://www.ipa.go.jp/security/txt/2015/q2outline.html [3] "LastPass" https://lastpass.com/
[4] 名桜大学 照屋寛直,中村航,天願健,田邊勝義: 神戸大学大 学院工学研究科 古本啓祐,森井昌克 「パスワードリスト攻撃に 対抗するパスワード管理とシステム構築-マスターパスワードの 保護の提案」電子情報通信学会技術研究報告 ICSS2013-70 pp.49-52 (2014)
[5] Zhiwei Li, Warren He, Devdatta Akhawe, Dawn Song, University of California, Berkeley: The emperor's new password manager security analysis of web-based password managers. 23rd USENIX Security Symposium. (2014)
[6] David Silver, Suman Jana, Dan Boneh, Stanford University:
Eric Chen, Collin Jackson, Carnegie Mellon University.
Password managers: attacks and defenses. 23rd USENIX Security Symposium. (2014)
[7] “ITmedia エンタープライズ 鈴木聖子 「パスワード一元管理 の LastPass にハッキング,情報流出も」" (2015.06.16) http://www.itmedia.co.jp/enterprise/articles/1506/16/news0 50.html
[8] "password manager software reviews".
http://password-management-software-review.toptenreviews.c om/
[9] "FORGROCK-Products-Access Management-OpenAM".
https://www.forgerock.com/products/access-management/
[10] "FIDO Alliance". https://fidoalliance.org/
[11] "OpenID ファウンデーション Japan".
http://www.openid.or.jp/
